computerwoche.de

Security

Für Menschen kein Problem

3D-Captcha als wirksamer Schutz vor Bot-Angriffen

26.03.2009
Von pte pte
Sogenannte Captcha-Bildrätsel sind dazu gedacht, Web-Angebote vor Massenregistrierungen oder Spam-Attacken durch Bot-Programmme zu schützen - doch gelten sie mittlerweile als praktisch wirkungslos.

Die Social-Networking-Seite YUNiTi hat nun eine Captcha-Variante vorgestellt, die auf 3D-Bilder statt 2D-Schriftzeichen setzt. Während das eine einfache Bedienung für menschliche User verspricht, soll es gleichzeitig zuverlässigen Schutz vor automatisierten Angriffen bieten. Denn für eine optische Zeichenerkennung, wie sie zum Knacken von Schriftzug-Captchas genutzt wird, sind die 3D-Bilder nicht anfällig. "Der Ansatz der 3D-Captchas wird sicherlich eine Weile funktionieren", meint G-Data-Sprecher Thorsten Urbanski im Gespräch mit pressetext. Allerdings sei das Aushebeln der neuen Sicherung auch nur eine Frage der Zeit.

Der neue Captcha-Ansatz kommt bei der Registrierung auf YUNiTi zum Einsatz. Er setzt darauf, dass menschliche Nutzer dreidimensionale Objekte auch dann noch erkennen können, wenn sie um zufällige Winkel gedreht wurden. Zum Lösen des Bildrätsels muss der User drei Objekte ihrer jeweiligen Entsprechung in einer Palette von 18 vorgegebenen Objekten zuordnen. Das verlangt einem Menschen nur wenige Klicks ab und soll letztendlich sogar leichter sein, als stark verzerrte Schriftzeichen zu erkennen. Für Spammer-Programme aber lege es die Latte höher, heißt es seitens YUNiTi. Zunächst dürften solche 3D-Captchas tatsächlich sicher gegen automatisierte Angriffe sein, so Urbanski. "Es gibt aber bereits heute spezialisierte Software zum Knacken von WLAN-Schlüsseln, die Berechnungen auf den Prozessor der Grafikkarte verlagern, was mit außerordentlichem Erfolg funktioniert", sagt der G-Data-Sprecher. Mit ähnlichen Mechanismen dürften Cyber-Kriminelle eines Tages auch 3D-Captchas knacken.

Klassische Captchas mit 2D-Schriftzügen gelten unter anderem aufgrund immer besserer automatisierter Angriffe als praktisch wirkungslos). Doch auch die allerbesten Captchas, die Knack-Bots weitgehend widerstehen, sind vor Attacken nicht gefeit. "In Indien etwa hat sich eine boomende Parallel-Ökonomie etabliert, die sich auf die 'Bearbeitung' von Captchas spezialisiert hat", erklärt Urbanski. Dort werde die Dienstleistung "Captcha-Bypassing" zu Festpreisen angeboten - für eine Handvoll Dollar pro 1000 Captchas. "Darüberhinaus etabliert sich momentan in diversen halbseidenen Foren eine weitere Variante: Für diverse Bedienschritte innerhalb dieser Foren ist jeweils das Lösen eines Captchas erforderlich", sagt Urbanski. Die Captchas stammen aber von externen Webseiten, so dass die Foren-Nutzer zu unfreiwilligen Captcha-Knackern werden und die Betreiber daran verdienen. Mit derartigen Methoden könnten auch neue Ansätze wie 3D-Captchas schnell ausgehebelt werden, meint der G-Data-Sprecher. (pte)